Risque
- Exécution de code arbitraire à distance ;
- atteinte à la confidentialité des données.
Systèmes affectés
- Microsoft Windows 2000 Service Pack 3 & 4 ;
- Microsoft Windows XP Service Pack 1 & 2 ;
- Microsoft Windows XP 64-bit Edition Service Pack 1 ;
- Microsoft Windows XP 64-bit Edition Version 2003 ;
- Microsoft Windows Server 2003 ;
- Microsoft Windows Server 2003 pour systèmes Itanium.
Résumé
Une vulnérabilité découverte dans le composant ActiveX DHTML Help permet à un utilisateur mal intentionné d'exécuter à distance du code arbitraire sur le système vulnérable ou de porter atteinte à la confidentialité des données.
Description
Le composant ActiveX Dynamic HyperText Markup Language (DHTML) présente une vulnérabilité de type cross-domain qui permet à un individu mal intentionné de porter atteinte à la confidentialité des données du système vulnérable ou d'exécuter du code arbitraire avec les privilèges de la victime, au moyen d'une page ou d'un e-mail malicieusement contruit en HTML.
Solution
Se réferer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).
Documentation
- Bulletin de sécurité Microsoft MS05-013 du 08 février 2005 :
http://www.microsoft.com/technet/security/bulletin/MS05-013.mspx
- Référence CVE CAN-2004-1019 :
https://www.cve.org/CVERecord?id=CAN-2004-1019